パスワード機能を過信してはいけない：個人情報保護コラム

「何重にも安全対策がかけられているので、外部に漏えいすることはありません」と、個人情報を漏えいした企業の担当者は回答した。何重にもかけている安全対策とは何だろうか？

[佐藤隆，ITmedia]

　「何重にも安全対策がかけられているので、外部に漏えいすることはありません」と、個人情報を漏えいした企業の担当者は回答した。取材する側も、証拠となる個人情報を入手していないので、以後ニュースになることはなかった。何重にもかけている安全対策とは何だろうか？　仕事で安全性を検証していると、何重の安全対策であってもセキュリティ機能が解除できる場合がある。

BIOSパスワード

　パソコンを起動した時、OSが起動する前にハードウェア上にあるROMに格納されているプログラムを「BIOS（Basic Input Output System）」という。このBIOSの機能の一部に、パスワードを設定する機能がある。業務上、移動先で使用するノートPCに設定されることが多い。電車の中でノートPCを使って仕事している人をよく見ると、電源を入れてからWindowsの画面がでないのにキー入力しているようだったら、それはBIOSパスワードを使っていると考えていい。盗難にあったPCにBIOSパスワードがかけられていれば、まずこれが解除しなければ個人情報が抜き出されることはない。

　BIOSはハードウェアに依存するため、ベンダーによって異なるし、さらにROMに格納されているので、PCごとに設定が行える。そのため、解除は難しいように見えるが、BIOSによっては、抜け道が用意されている。あるBIOSではパスワードに使用できる文字が限られ、同じメーカー、同じ機種に搭載されているBIOSのROMを用意することで、BIOSのパスワード機能を解除することができる場合がある。ほかにも旧バージョンBIOS、ROMの書き換えなどのテクニックが存在する。悪い人達は、こうして最初のBIOSパスワードを突破していく。このため、最近発売されるPCには、BIOSのセキュリティ機能が高い機種も登場してきている。

OSレベルのパスワード

　Windowsが起動されるとパスワードを入力される画面が表示されるが、これはOSのパスワード管理機能である。ユーザーや管理者権限のパスワードを知らなければ、アクセスできない仕組みだが、ここにも抜け道が幾つか存在する。

　簡単な方法を2つ挙げると、最初の方法は、フロッピーやCD-ROMで特殊なプログラムを起動させ、OSのパスワード部分を書き換えてしまう方法である。書き換えた後でOSを起動すると、管理者権限のパスワードはないので、簡単にログインできる。もう1つの方法は、ほかのHDDからOSを起動して、Windowsが格納されたディスクの中身を調べていく方法である。OSが使用しているファイルフォーマットは公開されているので、外部から用意にアクセスできる。このような方法は、一部のOSやHDDのOSの一部が壊れた場合に、修復する基本的なテクニックとして使われている。もちろん簡単ではない方法も存在している。

アプリケーションによるパスワード

　最近、私が相談されるケースが多いのは、このタイプである。「パスワードを忘れたので解除してほしい」と持ち込まれる。「腕試しにコレ（ファイル）を解いてみない」なんて相談もある。中身がわからないので、個人情報ではない場合もあるが、ファイル名や拡張子から個人情報と思われるケースもある。企業が採用しているアプリケーションからセキュリティ機能を調べ、暗号化に使用している関数ライブラリを特定する。

　ここにも、1つ欠点がある。企業が独自に採用しているアプリケーションのセキュリティ機能の中には、従業員自身が設定したパスワードを回避する機構を搭載している。親会社の一部の担当者しか知らないのに、この方法ではその特殊なパスワードを発見しできてしまうからだ。

　多くの企業が安全であると思われ、使用しているパスワード機能は、プロによって解除され、HDDに格納されていく個人情報が入念に探し出されていく。盗難にあったノートPCはOSのアカウントとパスワードでガードしているからといって、決して安心できるとは思わないでほしい。本当に悪い人間の手に渡ってしまえば、安全と思っていた策も意味をなさないのである。

佐藤隆プロフィール

セキュリティコンサルタント。セキュリティ監査、ペネトレーションテスト、情報セキュリティ教育などの情報セキュリティ業務に従事し、大学では非常勤講師を務める。BS7799オーディター、ISMS審査員資格を所有している。